はじめに
本記事では、Secure Endpointに関するトラブルシューティングや仕様確認を目的として、お客様からSRをオープンいただく際に、事前に取得いただきたい情報をまとめました。
調査に必要な情報を、トラブル対応時に確実に取得して、問題を解決し、お客様に満足いただけるようにすることを目的とします。
また、SRによるお問い合わせはSeverityに従った対応となりますため、特に障害対応ではないQ&Aについては、お時間をいただく場合がございます。お急ぎの場合は特に、SRオープン前に、以下ドキュメントをご一読いただき、解決可能であるかをご確認いただけますと幸いです。
取得いただく情報
Secure EndpointのSRをオープンいただく際には、以下情報を事前に取得をお願いします。
| Diagnosticsファイル |
スクリーンショット |
その他の有益な情報 |
|
Diagnosticsファイルには以下のような情報が含まれます。
- Secure Endpointのログ(debug付き)
- DBファイル
- その他
Diagnosticsファイルに加え、ログの絞り込みに必要な、事象の発生日時をご連絡お願いします。
必要に応じて、端末のファイルを直接確認いただく場合がございます。
|
状況を正確に把握させていただくため、以下の画面キャプチャの取得をお願いいたします。
- Connector GUI
- Secure Endpoint Console
- その他、事象を示す画面
|
発生した事象に応じて追加で以下のようなログの取得をお願いする場合がございます。
- CLIのコマンド結果
- OSのログ
- パケットキャプチャ
- その他
|
また、これらに加えて、問診表(こちら参照)の項目へのご回答もよろしくお願いいたします。
以下、それぞれのログ情報にて取得可能な情報を説明します。
Diagnosticファイル
Diagnosticsファイルは、Secure Endpointのトラブル調査を行うために、必要なログをPC端末から収集して圧縮したファイルとなります。Windows ConnectorのDiagnosticsは、主に以下のファイルが含まれております。Mac / LinuxのDiagnosticsではファイル構成が異なりますが、類似する情報が含まれております。
- Connectorの実行ログ(sfc.exe.log)
- 端末の識別情報(local.xml)
- Connector Installログ(immpro_install.log)
- キャッシュファイル(cache.db, nfm_cache.db, nfm_url_file_map.db)
- Endpoint IOC (iocフォルダ)
- OSのEventログ
- Cloudとの接続テスト結果
トラブル発生時のログ分析では、主にsfc.exe.logを使用しますが、デフォルトの設定では、Errorレベル以上のログが出力されるため、多くのトラブル対応ケースでは十分な情報が得られません。そのため、Debugレベルをを有効にしたログが必要となります。Debugを有効にしたDiagnosticsの取得に関しては、以下ドキュメントをご確認ください。
Windows ConnectorでのDiagnosticファイル取得方法
その際、Debugを有効にした後で、発生している事象を再現いただくことが重要です。事象が発生した後でDebugログを取得しても意味はありません。その他、Debug取得時の注意事項や制限事項がございますため、以下ドキュメントをご一読ください。
[Secure Endpoint] Debugログ取得時の注意事項(Windows)
[Secure Endpoint] Debugログ取得時の手順と注意事項 (Linux OS)
なお、Debugログは膨大な量となるため、絞り込むための情報を提供お願いします。
- 事象発生日時(特にDebugを有効にして事象を再発させた日時)
- ファイル名、ユーザ名、Directory名、IPアドレス等
また、仕様確認や、Secure Endpoint Console(Web GUI)でのトラブル対応であっても、お客様の設定を確認することも可能であることから、Diagnosticsファイルの取得を依頼させていただく場合がございます。
事象発生時のスクリーンショット
事象発生が分かるエラーメッセージ等のスクリーンショット(画面キャプチャ)を取得お願いします。
特に、Secure Endpoint Consoleで発生している事象に関しては、スクリーンショットが非常に有効な手がかりとなります。また、端末側(Connector)の事象であっても、齟齬が発生することを防ぐために、必ず画面キャプチャの取得をお願いします。
その他
その他、事象の分析に必要と考えられる情報があれば提供をお願いします。Secure Endpointの場合、一例としては以下の情報が考えられます。その他発生している事象によって、追加でのログを依頼させていただく場合がございます。
- 端末とCloudの接続試験結果(curl / wgetなどを使用)
- 端末のパケットキャプチャ(Wireshark)
- OS(Windows等)のログ
- Secure Endpoint Console上のEvent情報 / Computer情報のCSV出力結果
問診表
上記、Secure Endpointでの取得情報と重複する箇所もございますが、以下SR問診表を記入の上でお問い合わせをいただきますよう、ご協力をお願いします。
SRテンプレート(問診表)
https://www.cisco.com/c/dam/global/ja_jp/support/loc-tac-guide/doc/template-sr.txt
HashエンジンのFalse Positive / False NegativeのSRオープンについて
Secure Endpointにて発生したFalse Positive / False Negativeに関してSRをオープンする場合は、通常のトラブル対応とは必要な情報が異なります。詳しくは以下をご参照ください。
False Positive/False NegativeのSRオープン時に取得いただく情報について
[Secure Endpoint] False Positive/False NegativeのSRオープン時に取得いただく情報について
Exploit Preventionエンジンの誤検知のSRオープンについて
本記事中の「取得いただく情報」に加えて、別途Exploit Prevention専用の調査ツールを利用したデータの収集などをお願いする場合がございます。弊社TACへのケースオープン後に必要に応じて詳細をご連絡させていただきます。
